用SSL构建一个安全的APACHE之二
类别: 数据库教程 
五、软件包的安装
在实际安装前我们要决定我们将把web server安装在什么环境下,对于一个对安全有相当高要求的人来说,可以将服务器和软件安装于chroot环境,chroot改变root 目录并且仅在这一目录中执行程序,这提供了一个内建的小环境,即使入侵者已经通过cgi程序或者其它办法通过80端口获得了系统的进入权限,它也只能够在这一受限的环境中活动,从安全角度考量,这当然是最好的,但对系统管理员来说,这样安装相对麻烦一些,还必须把一些必要的库,perl以及相关工具也搬到chroot中,所以――你自己决定吧,这里我们介绍的是在chroot下安装。
展开这些软件包:
#gzip -d -c apache_1.3.11.tar.gz | tar xvf -
#gzip -d -c mod_ssl-2.5.0-1.3.11.tar.gz | tar xvf -
#gzip -d -c openssl-0.9.4.tar.gz | tar xvf -
#gzip -d -c mod_perl-1.21.tar.gz | tar xvf -
开始并且编译rsaref
#mkdir rsaref
#cd rsaref
#gzip -d -c ../rsaref20.tar.Z | tar xvf -
#tar xvf rsaref.tar
#cp -rp install/unix temp
#cd temp
#make
#mv rsaref.a librsaref.a
#cd ../../
编译OpenSSL
#cd openssl-0.9.4
#perl util/perlpath.pl /usr/bin/perl (Path to Perl)
#./config -L`pwd`/../rsaref/temp/
#make
#make test
#cd ..
将mod_perl加到Apache的编译选项里
#cd mod_perl-1.21
#perl Makefile.PL APACHE_PREFIX=/usr/local/apache
APACHE_SRC=../apache_1.3.11/src
USE_APACI=1
你会得到下面的提示:
Configure mod_perl with ../apache_1.3.11/src ? [y]
直接按enter就是默认的yes
然后Makefile会问你是否建立httpd,可以用n选择不。
#make
#make install
#cd ..
将mod_ssl加到Apache中
#cd mod_ssl-2.5.0-1.3.11
#./configure --with-apache=../apache_1.3.11
--prefix=/usr/local/apache
--with-ssl=../openssl-0.9.4
--with-rsa=../rsaref/temp
--activate-module=src/modules/perl/libperl.a
#cd ..
编译Apache:
#cd apache_1.3.11
在编译以前我们可以再做一件事――编辑包含http server版本号的文件,使想得到它的入
侵者摸不着脑袋长哪儿:)
# src/include/httpd.h
寻找下面的行 (approx. 454)并且改变server的名字及版本号――可以随便用你想改成的东西。
define SERVER_BASEVERSION "Apache/1.3.11"
现在你可以编译阿帕奇了
#make
现在你可以生成一个CA了(actual certificate).
#make certificate
按照该授权书的安装介绍做。
#make install
这将会把阿帕奇装在/usr/local/apache。
测试web server (还没装SSL)是否运行正常 ----调用web server:
/usr/local/apache/bin/apachectl start
当WEB服务器运行起来后,你可以用 lynx或者任意什么浏览器连接你的80端口,如果能看到apache的欢迎页,就OK了。
停止server:
/usr/local/apache/bin/apachectl stop
测试web server (同时起SSL) - 调用带SSL的WEB服务器
/usr/local/apache/bin/apachectl startssl
服务器运行时你用Netscape或者其它支持SSL的浏览器来看https://your.ip.here,看到欢迎页了么?
要停止SERVER:
/usr/local/apache/bin/apachectl stop
在实际安装前我们要决定我们将把web server安装在什么环境下,对于一个对安全有相当高要求的人来说,可以将服务器和软件安装于chroot环境,chroot改变root 目录并且仅在这一目录中执行程序,这提供了一个内建的小环境,即使入侵者已经通过cgi程序或者其它办法通过80端口获得了系统的进入权限,它也只能够在这一受限的环境中活动,从安全角度考量,这当然是最好的,但对系统管理员来说,这样安装相对麻烦一些,还必须把一些必要的库,perl以及相关工具也搬到chroot中,所以――你自己决定吧,这里我们介绍的是在chroot下安装。
展开这些软件包:
#gzip -d -c apache_1.3.11.tar.gz | tar xvf -
#gzip -d -c mod_ssl-2.5.0-1.3.11.tar.gz | tar xvf -
#gzip -d -c openssl-0.9.4.tar.gz | tar xvf -
#gzip -d -c mod_perl-1.21.tar.gz | tar xvf -
开始并且编译rsaref
#mkdir rsaref
#cd rsaref
#gzip -d -c ../rsaref20.tar.Z | tar xvf -
#tar xvf rsaref.tar
#cp -rp install/unix temp
#cd temp
#make
#mv rsaref.a librsaref.a
#cd ../../
编译OpenSSL
#cd openssl-0.9.4
#perl util/perlpath.pl /usr/bin/perl (Path to Perl)
#./config -L`pwd`/../rsaref/temp/
#make
#make test
#cd ..
将mod_perl加到Apache的编译选项里
#cd mod_perl-1.21
#perl Makefile.PL APACHE_PREFIX=/usr/local/apache
APACHE_SRC=../apache_1.3.11/src
USE_APACI=1
你会得到下面的提示:
Configure mod_perl with ../apache_1.3.11/src ? [y]
直接按enter就是默认的yes
然后Makefile会问你是否建立httpd,可以用n选择不。
#make
#make install
#cd ..
将mod_ssl加到Apache中
#cd mod_ssl-2.5.0-1.3.11
#./configure --with-apache=../apache_1.3.11
--prefix=/usr/local/apache
--with-ssl=../openssl-0.9.4
--with-rsa=../rsaref/temp
--activate-module=src/modules/perl/libperl.a
#cd ..
编译Apache:
#cd apache_1.3.11
在编译以前我们可以再做一件事――编辑包含http server版本号的文件,使想得到它的入
侵者摸不着脑袋长哪儿:)
# src/include/httpd.h
寻找下面的行 (approx. 454)并且改变server的名字及版本号――可以随便用你想改成的东西。
define SERVER_BASEVERSION "Apache/1.3.11"
现在你可以编译阿帕奇了
#make
现在你可以生成一个CA了(actual certificate).
#make certificate
按照该授权书的安装介绍做。
#make install
这将会把阿帕奇装在/usr/local/apache。
测试web server (还没装SSL)是否运行正常 ----调用web server:
/usr/local/apache/bin/apachectl start
当WEB服务器运行起来后,你可以用 lynx或者任意什么浏览器连接你的80端口,如果能看到apache的欢迎页,就OK了。
停止server:
/usr/local/apache/bin/apachectl stop
测试web server (同时起SSL) - 调用带SSL的WEB服务器
/usr/local/apache/bin/apachectl startssl
服务器运行时你用Netscape或者其它支持SSL的浏览器来看https://your.ip.here,看到欢迎页了么?
要停止SERVER:
/usr/local/apache/bin/apachectl stop
